# DC0007 - File Modification ## Descrição File Modification monitora alterações no conteúdo, metadados, permissões ou atributos de arquivos existentes. É crítico para detectar ransomware (criptografia em massa), tampering de binários do sistema, alteração de logs para cobertura de rastros e modificação de configurações de segurança. Diferente da criação de arquivos, a modificação indica que um adversário está alterando o estado existente do sistema, frequentemente para estabelecer persistência ou causar impacto. ### Pipeline de Detecção ```mermaid graph TB A["📥 Fonte de Dados<br/>Sysmon EID 2 / FIM<br/>Wazuh / Tripwire"] --> B["🔄 Coleta<br/>Wazuh Agent / Elastic<br/>Carbon Black"] B --> C["📊 Normalização<br/>Hash antes/depois, timestamp,<br/>processo modificador"] C --> D["🔍 Correlação<br/>Modificações em massa,<br/>paths críticos, ACL changes"] D --> E["⚠️ Regras de Detecção<br/>Ransomware pattern,<br/>system binary tamper"] E --> F["🚨 Alerta<br/>SOC Tier 1 - URGENTE"] F --> G["📋 Resposta<br/>Isolamento imediato +<br/>Backup verification"] classDef source fill:#3498db,stroke:#2c3e50,color:#ecf0f1 classDef process fill:#2ecc71,stroke:#2c3e50,color:#ecf0f1 classDef alert fill:#e74c3c,stroke:#2c3e50,color:#ecf0f1 class A source class B,C,D process class E,F,G alert ``` ## Fonte de Dados Parent: [[ds0022-file|DS0022 - File]] ## O Que Monitorar - Sysmon Event ID 2 (FileCreationTimeChanged) - tampering de timestamps - Modificações em massa de arquivos com extensões alteradas (ransomware) - Alterações em binários do sistema (`C:\Windows\System32\`) - Modificações em arquivos de configuração de segurança (hosts, sudoers) - Alterações em scripts de inicialização (.bashrc, .profile, registry run keys) - Modificações em drivers ou arquivos de boot - Alterações de permissões em arquivos críticos (ACL changes) ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Impair Defenses | [[t1562-impair-defenses\|T1562]] | Modificações em configurações de AV/EDR | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Modificações em massa com mudanças de extensão | | Data Manipulation | [[t1565-data-manipulation\|T1565]] | Alterações seletivas em arquivos de dados ou logs | | Hijack Execution Flow | [[t1574-hijack-execution-flow\|T1574]] | Substituição de DLLs legítimas por versões maliciosas | | Modify Registry | [[t1112-modify-registry\|T1112]] | Modificações em hives de registro críticos | ## Implementação **FIM - File Integrity Monitoring:** ``` # Wazuh FIM - monitorar diretórios críticos <directories check_all="yes">/etc,/bin,/sbin</directories> <directories check_all="yes">C:\Windows\System32</directories> ``` **Sysmon Event ID 2** para detecção de timestomping (alteração de timestamps de criação). **SIEM - detecção de ransomware (Splunk):** ``` index=sysmon EventCode=11 OR EventCode=2 | stats dc(TargetFilename) as files_changed by Image, _time span=1m | where files_changed > 100 ``` **Ferramentas:** Wazuh FIM, Tripwire Enterprise, Qualys FIM, Carbon Black App Control, Elastic Endpoint Security. ## Detecção KQL (Microsoft Sentinel / Defender) ```kql // Ransomware - modificações em massa com mudança de extensão DeviceFileEvents | where ActionType == "FileModified" or ActionType == "FileRenamed" | summarize ModifiedFiles = count(), DistinctExtensions = dcount(FileName) by DeviceName, InitiatingProcessFileName, bin(Timestamp, 1m) | where ModifiedFiles > 50 | order by ModifiedFiles desc ``` ```kql // Tampering de binários do sistema DeviceFileEvents | where ActionType == "FileModified" | where FolderPath startswith "C:\\Windows\\System32\\" or FolderPath startswith "C:\\Windows\\SysWOW64\\" | where InitiatingProcessFileName !in~ ("TrustedInstaller.exe", "svchost.exe", "msiexec.exe") | project Timestamp, DeviceName, InitiatingProcessFileName, FileName, FolderPath ``` ## Contexto LATAM > [!latam] Relevância Regional > File Modification é crítico para detecção de ransomware, a ameaça mais impactante para organizações brasileiras. O Brasil é um dos países mais afetados por ransomware na América Latina, com grupos como LockBit e BlackCat atacando setores de saúde, governo e financeiro. Wazuh FIM é a ferramenta mais adotada para monitoramento de integridade de arquivos em organizações brasileiras de todos os portes. > - Adoção em SOCs brasileiros: **médio a alto** > - Ferramentas comuns: Wazuh FIM (dominante), OSSEC, Tripwire (em bancos), Elastic Endpoint > - Desafios: configuração de baseline inicial é trabalhosa e frequentemente negligenciada; dificuldade de distinguir modificações legítimas de maliciosas em servidores de aplicação; integração com backup para resposta rápida a ransomware ainda é imatura em muitas organizações